Организационно-правовые методы защиты информации

1. Защита критических инфраструктур в рамках реализации Концепции национальной безопасности
2. Оценка экономической целесообразности приобретения комплектующих с наличием ранних отказов
3.Сравнение существующих стандартов в области управления конфигурацией
4. Международные стандарты в области оценивания информационных рисков
5. Организационно-методические мероприятия по сбору информации о системе защиты в целях ее аттестации
6. Методы  оценивания и управления рисками информационной безопасности в информационно-телекомуникационной системе организации
7. Безопасность применения мобильных устройств на объектах информатизации
8. Программное обеспечение при исследовании технических устройств

Защита критических инфраструктур в рамках реализации концепции национальной безопасности 

Концепцией  национальной  безопасности, одним из основных индикаторов (показателей) состояния национальной безопасности, признается уровень развития информационных технологий и телекоммуникаций, а обеспечение надежности и устойчивости функционирования критически важных объектов информатизации (КВОИ) — одним из основных национальных интересов.

Мировая и отечественная статистика реализованных угроз в отношении КВОИ, уязвимость современных информационно-телекоммуникационных систем управления критическими инфраструктурами к кибернетическим атакам, тяжесть последствий таких атак, растущая технологическая оснащенность нападающих требуют принятия решительных мер по защите КВОИ.

Основными задачами на сегодняшнем этапе реализации Концепции являются следующие мероприятия:

  • разработка четко обоснованной стратегии защиты важнейших национальных  инфраструктур    и    кибернетического    пространства    страны в целом;
  • разработка системы технических нормативных правовых актов, регламентирующих методы и средства защиты КВОИ, устанавливающих классификацию КВОИ по уровням безопасности, требования к обеспечению безопасной эксплуатации  и  надежного  функционирования  КВОИ, соответствующие методики оценки показателей защищенности КВОИ, уровня технической защиты информации (ТЗИ) и т.п., исходящих из анализа современных угроз их ресурсам и оценки риска нарушения их безопасности;
  • разработка системы правовых актов, регламентирующих отношения субъектов в области обеспечения безопасности КВОИ, устанавливающих порядок  отнесения    объектов     информатизации     к критически     важным, их регистрации в Государственном реестре;
  • создание системы государственного контроля и управления в области обеспечения  надежного функционирования критически важных для национальной безопасности инфраструктур, организация мониторинга безопасности их КВОИ уполномоченным государственным органом.

Оценка экономической целесообразности приобретения комплектующих с наличием ранних отказов 

Общеизвестно, что угроза информационной безопасности средств вычислительной техники и телекоммуникаций, вызванная простоями оборудования в период его отказов, в значительной степени определяется ранними отказами оборудования. В свою очередь ранние отказы на начальной стадии эксплуатации оборудования возникают вследствие исключения из техпроцесса его изготовления операций приработки (электротермотренировка, термовыдержка, термоциклирование, вибротряска).

За счет исключения производителем из техпроцесса ряда операций изделия данного    производителя становятся более дешевыми и доступными для покупателей. Однако данный принцип производства продукции имеет и отрицательную сторону — увеличение количества ранних отказов оборудования в период гарантии при начальной эксплуатации  продукции  и тем самым повышение вероятности возникновения угрозы информационной безопасности.

В докладе анализируется  выгодность  сокращения  цикла  производства комплектующих изделий средств вычислительной техники и телекоммуникаций для производителя и потребителя. Известно, что по условиям договора купли-продажи комплектующих, заключенного между дилером-продавцом и покупателем, отказавшие в период гарантии комплектующие могут быть возвращены продавцу для замены на годные изделия.

Интересно
Технологический   процесс   операции   возврата   в докладе делится на определенные технологические переходы, которые влекут за собой дополнительные расходы покупателя. Анализ этих переходов показал, что время простоя, например, компьютера, вызванного ранним отказом комплектующего изделия, составит не менее 16 ч рабочего времени компьютера.

Эта величина для конкретного покупателя комплектующих (пользователя компьютера) позволяет оценить, что ему выгоднее — более дешевые комплектующие с сокращѐнным техпроцессом изготовления или более дорогие, но без обращения в гарантийный ремонт из-за ранних отказов. Похожую оценку можно выполнить и для производителя комплектующих.

Сравнение существующих стандартов в области управления конфигурацией 

Управление конфигурацией является управленческой дисциплиной, использующей техническое и административное руководство для разработки, производства и поддержки объекта конфигурации. Эта дисциплина применима к аппаратному оборудованию и программному обеспечению, перерабатываемым материалам, услугам и относящейся к ним документации.

Управление конфигурацией является составной  частью  управления жизненным циклом продукции.

Существует ряд стандартов в области управления конфигурацией, разработанных различными организациями, например ISO и IEEE. В каждом из этих стандартов существует свой, несколько отличный подход к управлению конфигурацией, сравнение этих подходов, требований и приведенной информации позволит наиболее полно и разносторонне организовать  управление конфигурацией в рамках организации. Именно такое сравнение представлено в данном докладе.

Международные стандарты в области оценивания информационных рисков 

С повышением уровня информатизации  современных  предприятий задача анализа и оценивания информационных рисков становится все более актуальной. Основной задачей данного направления является объективная идентификация и оценка наиболее значимых информационных ресурсов предприятия, а также адекватность используемых средств контроля за безопасностью информации.

В докладе рассматриваются международные стандарты в области оценивания рисков информационной безопасности (ИБ). В качестве основополагающего и наиболее «общего» среди международных стандартов можно  выделить  ISO/IEC 27001:2005  «Информационные  технологии  –  Методы защиты – Системы менеджмента информационной  безопасности  – Требования».

Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью, доступностью такого важного актива компании как информация. Данный стандарт определяет методологию подхода к обеспечению ИБ в организации и акцентирует внимание на наиболее критичных составляющих информационной системы.

Стандарт Великобритании BS 7799 посвящен управлению информационной безопасностью организации. Частью BS 7799 является стандарт BS 7799-3. Данный стандарт посвящен вопросам управления информационными рисками.

Стандарт содержит разделы по оценке рисков, обработке рисков, обеспечению непрерывных действий по управлению рисками, а также приложения с примерами активов, угроз, уязвимостей, методов оценки рисков. BS 7799-3 допускает использование как количественных, так и качественных методов оценки рисков, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ.

В докладе даются практические рекомендации о применении и гармонизации указанных стандартов в Украине и  СНГ.  Применение упомянутых нормативных актов предполагает, как правило, частичное изменение ИТ-инфраструктуры организации и, в том числе, перестройку системы информационной безопасности как части инфраструктуры, а также изменение подходов к ее построению.

Организационно-методические мероприятия по сбору информации о системе защиты в целях ее аттестации 

Системы    защиты    информации    являются    актуальной    разработкой на данный момент. Для аттестации системы защиты необходимо провести исследование этой системы.

Основные задачи исследование:

  • анализ, систематизация и уточнение данных о системе;
  • определение требований к обеспечению основных свойств безопасности для каждого вида информации в системе;
  • анализ состава и характеристик технических и программных средств, технологии обработки и передачи информации в системе;
  • анализ топологии, состава и характеристик технических и программных средств телекоммуникации системы;
  • анализ информационных потоков в системе;
  • выявление возможных  путей  реализации  значимых  угроз информационной безопасности, возможных каналов несанкционированного доступа к ресурсам системы АС с целью нарушения ее работоспособности или доступа к защищаемой информации;
  • анализ существующего   порядка  допуска  сотрудников  подразделения к работе с системой и определения их полномочий по доступу к ресурсам системы.

В результате исследования должны быть получены данные о системе, которые лягут в основу аттестации.

Методы оценивания и управления рисками информационной безопасности в информационно- телекомуникационной системе организацииа 

Анализ информационных рисков — это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным (уровни риска обычно: высокий, средний, низкий) показателям рисков.

В данной работе рассматривается два уровня анализа рисков: базовый и полный. Для базового анализа рисков достаточно проверить риск невыполнения требований международных и национальных стандартов в области информационной безопасности (как правило,  стандарты  из серии ISO 27000) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий).

Примером такого подхода является система «Кондор», которая является одной из компонент комплекса «Digital security office 2006».

Основное    отличие     полного     анализа     рисков     от базового     состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации; объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности); виды угроз.

В докладе   приводятся    примеры    системы    полного    анализа    рисков. В частности, рассматривается система «Гриф», которая относится к программному комплексу «Digital security office  2006».  В данной работе дается анализ возможностей системы «Гриф».

В докладе обсуждаются возможности применения различных методов и средств оценивания рисков (в частности средства «Гриф») для отечественных предприятий.

Безопасность применения мобильных устройств на объектах информатизацииа 

Самые  современные  технологии  межсетевого  экранирования, криптографическое программное обеспечение, современные методы разграничения доступа зачастую бессильны перед хищением данных сотрудниками компании, использующими мобильные устройства. В свою очередь, благонадежность сотрудников не решает другой проблемы — угроза утери информации вместе с ее носителем.

Интересно
Наиболее вероятным инструментом хищения информации являются мобильные устройства, начиная от ноутбука и смартфона и заканчивая различными USB-накопителями. Напрашивается решение — обеспечить подключение только разрешенных мобильных устройств, не позволять вынос этих устройств за пределы периметра.

Однако достаточность и оправданность данных мер можно поставить под вопрос. Опыт многих мировых компаний говорит о том, что тотальный контроль над сотрудниками наоборот подвергает активы предприятия повышенному риску осуществления угроз со стороны работников.

С утерей мобильных устройств в какой-то мере немного проще. С одной стороны достаточно применения только шифрования, с другой, данных мер недостаточно. Следует применять комплексный подход, начиная от криптографической защиты и заканчивая  удаленным  уничтожением данных.

Руководство организации должно четко понимать обозначенные проблемы. Разработка и поддержание грамотной политики безопасности поможет снизить риски до минимального значения.

Регулярные тренинги персонала, проведение семинаров, различного рода стимулирование и наказание должны в совокупности обозначить позицию руководства по обеспечению  информационной  безопасности и не давать предпосылок для таких видов мотивации злонамеренных действий как корыстный интерес, месть из-за обиды и т.п.

Программное обеспечение при исследовании технических устройств 

Мобильный телефон, персональный компьютер, ноутбук, нетбук, коммуникатор и смартфон — это сложные аппаратно-программные комплексы, где корректное функционирование зависит от правильной работы как аппаратной, так и программной части.

Также следует учесть, что изготовитель не может предугадать, как будет использоваться тот или иной товар (какой контент будет использоваться конечным пользователем).

Сегодня, большинство сбоев в работе технических средств, имеющих программную составляющую, связано с использованием не адаптированного под конкретное техническое средство программного контента (музыка, фильмы, программы и прочие данные).

С технической точки зрения ремонт — это восстановление работоспособности, то есть, если подтверждено наличие дефекта и произведена замена    программного    обеспечения,     после     которого     техническое     средство с программной составляющей перешло в работоспособное   состояние (отмеченный дефект отсутствует) — это является ремонтом.

Однако, учитывая, что на программное обеспечение может влиять пользователь, сервисными организациями дефект не подтверждается, а для тестирования производиться смена (замена) программного обеспечения. Поэтому при возврате технического средства с программной  составляющей (например, мобильного телефона) с заключением «Замена программного обеспечения» не стоит воспринимать его как отремонтированное (после ремонта).

Узнай цену консультации

"Да забей ты на эти дипломы и экзамены!” (дворник Кузьмич)